Linux: Iptables примери за начинаещи сисадмини – част 2
Публикувана от admin на April 07 2012 13:07:20
Блокиране на целия трафик
За блокиране на целия трафик изпълнете:

# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
# iptables -L -v -n

Блокиране само на входящия трафик

# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -L -v -n

Блокиране на адресите от частни мрежи
Пакетите от нерутиращи се източници могат да бъдат блокирани по следния начин:

# iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

IPv4 адресни пространства за частни мрежи (задължително трябва да бъдат блокирани при публичния интерфейс)

10.0.0.0/8 -j (A)
172.16.0.0/12 (B)
192.168.0.0/16 (C)
224.0.0.0/4 (MULTICAST D)
240.0.0.0/5 (E)
127.0.0.0/8 (LOOPBACK)

Блокиране на конкретни IP адреси (BLOCK IP)
За блокиране на адрес 1.2.3.4 въведете

# iptables -A INPUT -s 1.2.3.4 -j DROP

Блокиране на конкретни портове (BLOCK PORT)
За блокиране на всички услуги, работещи на port 80, въведете

# iptables -A INPUT -p tcp --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP

За блокиране на порт 80 само за избрано IP 1.2.3.4

# iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP

Блокирне на изходящи IP адреси
За блокиране на целия трафик към определен хост или домейн, като cyberciti.biz, изпълнете последователността от команди:

# host -t a cyberciti.biz
Примерен изход
cyberciti.biz has address 75.126.153.206

Вземете така-получения адрес и блокирайте целия изходящ трафик към него:

# iptables -A OUTPUT -d 75.126.153.206 -j DROP

За цяла подмрежа синтаксисът е подобен

# iptables -A OUTPUT -d 192.168.1.0/24 -j DROP
# iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP

Блокиране на Facebook.com
За намиране на всички адреси на facebook.com въведете:

# host -t a www.facebook.com

Примерен изход
www.facebook.com has address 69.63.189.70

CIDR за 69.63.189.70

# whois 69.63.189.70 | grep CIDR

Примерен изход
CIDR: 69.63.176.0/20

Блокиране по адрeс

# iptables -A OUTPUT -p tcp -d 69.63.176.0/20 -j DROP

Или по хост

# iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP
# iptables -A OUTPUT -p tcp -d facebook.com -j DROP